主页 / OWASP 2016亚洲峰会 / OWASP Top 10: Effectiveness of Web Application Firewalls
  • 作者
    David Caissy
  • 简介

    在2015年底,我们针对大部分常见的商业和开源WAFs展开了密集测试。我们测试了基于网络和基于主机的网络应用程序防火墙,在实验室里,我们的团队测试人员尝试搜索容易被网络应用程序保护的漏洞。我们把这些产品测试置于OWASP10大标准之下,试图绕过它们的攻击来检测算法。尽管我们预期WAFs能够在某些情境下表现良好,但还是好奇它们如何处理一些特定的攻击情景。当指定的一个WAF测试失败之后,我们会联系供应商并且跟他们确认该程序运用失败并不是由于我们的配置运用错误。该演示不是为了说明哪个应用程序防火墙在我们的测试中表现得多好,而是为了研究WAF是如何在OWASP10大准则之下的高效性。例如,它们是否能够有效地抵御SQL的注入侵袭?又或者它们是否能够阻止直接、不安全的物体攻击行为?面对跨脚本攻击抑或曝露性敏感数据,它们又能做出哪些回应?这些WAFs是否真的可以有效抵抗OWASP10大基准吗?我们是否真的可以依靠它们来保护我们的应用程序安全?或者我们是否应该贯彻实施其他安全行为来减少网络风险呢?如我们一样,你们也会得到一些惊喜的答案。

    Agenda

    • • Commercial vs Open Source Web Application Firewalls (WAF)
    • • Bypassing WAF Filtering
    • • Effectiveness against the OWASP Top 10
  • 援引
    http://www.owasp.org.cn/OWASP_Conference/owasp-2016/yc
  • 提示
    本站仅做资料的整理和索引,转载引用请注明出处
附件下载
  • OWASP201615OWASPTOP10.pdf
    时间: 大小: 0.79 M 下载: 29